Defaults.Exposed › Diegimas › CAA

Kaip nustatyti CAA įrašą „Cloudflare” sistemoje

Pridėkite CAA įrašą „Cloudflare” sistemoje ir nurodykite, kurios sertifikavimo institucijos turi teisę išduoti SSL sertifikatus jūsų domenui.

Kodėl tai svarbu jūsų verslui

CAA įrašas nurodo, kurioms sertifikavimo institucijoms (įmonėms, išduodančioms SSL/TLS sertifikatus už naršyklės spynos simbolio) leidžiama išduoti sertifikatą jūsų domenui. Bet kuri institucija, laikanti taisyklių, prieš išduodama sertifikatą privalo patikrinti šį įrašą ir atsisakyti, jei ji nėra sąraše.

Paprastai tariant: be CAA įrašo bet kuri iš šimtų pasaulio sertifikavimo institucijų galėtų būti apgauta arba padaryti klaidą ir išduoti galiojantį jūsų domeno sertifikatą užpuolikui — kuris galėtų įtikinamai apsimesti jūsų svetaine. CAA įrašas uždaro šią spragą, sakydamas: tik šios institucijos, niekas kitas. Tai nemokama ir užtrunka kelias minutes.

Patvirtinkite, kad „Cloudflare” valdo jūsų DNS

Tai veikia tik jei „Cloudflare” atsako į DNS užklausas jūsų domeno vardu. „Cloudflare” yra jūsų DNS tiekėjas, o jo DNS aktyvus tik tuomet, kai jūsų domeno vardų serveriai nukreipti į „Cloudflare” valdymo pulte rodomą adresą. Atidarykite domeną „Cloudflare” ir patikrinkite puslapį Overview, kad patvirtintumėte, jog „Cloudflare” aktyvus. Jei vardų serveriai nukreipti kitur — pridėkite CAA įrašą pas tą DNS tiekėją.

Pirmiausia sužinokite savo sertifikavimo instituciją

Prieš ką nors pridėdami, išsiaiškinkite, kuri institucija išduoda jūsų sertifikatą — priešingu atveju rizikuojate užblokuoti savo tiekėją. Dažniausios reikšmės:

• letsencrypt.org — Let’s Encrypt (naudojama daugumai nemokamų ir automatinių sertifikatų)
• digicert.com — DigiCert
• sectigo.com — Sectigo
• globalsign.com — GlobalSign
• pki.goog — Google Trust Services
• amazon.com — Amazon (AWS Certificate Manager)

„Cloudflare” pastaba: jei naudojate „Cloudflare” SSL (proksijuotą oranžinio debesies sąranką), „Cloudflare” jūsų vardu gauna sertifikatus iš kelių institucijų — įsitikinkite, kad jūsų CAA įrašas leidžia ir jas, arba leiskite „Cloudflare” pačiam valdyti CAA. Jei nesate tikri — paklauskite asmens, kuris nustatė jūsų prieglobą, arba patikrinkite sertifikatą naršyklėje.

Žingsniai „Cloudflare” sistemoje

1. Prisijunkite prie „Cloudflare” ir pasirinkite savo domeną.
2. Kairėje meniu eikite į DNS nustatymus (ieškokite DNS / Records).
3. Spustelėkite Add record.
4. Nustatykite Type į CAA.
5. Lauke Name įveskite: @ Simbolis @ reiškia jūsų domeno šaknį. „Cloudflare” pats prideda domeną, todėl nerašykite jo po simbolio.
6. „Cloudflare” rodo CAA laukus kaip patogius meniu. Nustatykite juos taip:
   • Flags: 0
   • Tag: pasirinkite Only allow specific hostnames (tai yra issue žyma)
   • CA domain name (reikšmė): letsencrypt.org
7. TTL palikite kaip Auto.
8. Spustelėkite Save.

Leidimas daugiau nei vienai sertifikavimo institucijai

Daugelis domenų laikui bėgant naudoja daugiau nei vieną instituciją — pavyzdžiui, šiandien nemokamą sertifikatą, vėliau mokamą, arba skirtingą atskirai paslaugai. Norėdami leisti kelias, pridėkite atskirą CAA įrašą kiekvienai. Visos naudoja tą patį @ vardą, 0 vėliavą ir issue žymą — keičiasi tik CA domeno reikšmė:

• vienas įrašas su reikšme letsencrypt.org
• vienas įrašas su reikšme digicert.com

Kartu tai sako: abi šios institucijos yra leidžiamos, jokios kitos. Neskombinuokite jų į vieną įrašą.

Dažnos klaidos „Cloudflare” sistemoje

• Didžiausia klaida — užblokuoti savo instituciją. Jei pridėsite CAA įrašą, išvardijantį tik digicert.com, bet jūsų sertifikatas iš tikrųjų atnaujinamas per Let’s Encrypt — kitas atnaujinimas tyliai nepavyks ir jūsų spyna gali sugesti po kelių savaičių. Prieš išsaugodami visada įtraukite visas institucijas, kurias iš tikrųjų naudojate.
• Atkreipkite dėmesį į „Cloudflare” SSL. Jei srautas eina per „Cloudflare” (oranžinis debesis), „Cloudflare” turi galėti gauti krašto sertifikatus. CAA įrašas, neapimantis „Cloudflare” naudojamų institucijų, gali tai sulaužyti — abejodami leiskite Let’s Encrypt ir Google Trust Services (pki.goog) kartu su savo, arba palikite CAA valdyti „Cloudflare”.
• Name yra @, ne jūsų domenas. Naudokite @ šakniai; „Cloudflare” pats prideda domeną.
• Žymos pavadinimas skiriasi. „Cloudflare” issue žymą vadina Only allow specific hostnames savo meniu. Tai teisingas pasirinkimas įprastam naudojimui.
• Flags yra 0 įprastam įrašui. Kita reikšmė, 128, yra griežtas režimas — naudokite tik sąmoningai.
• Naudokite tik domeną, ne URL. Reikšmė yra letsencrypt.org, ne https://letsencrypt.org ir ne www..
• CAA įrašas neproksijuojamas. CAA yra grynasis DNS įrašas — čia nėra oranžinio/pilko debesies jungiklio.
• Palaukite. DNS pakeitimai gali įsigalioti per kelias minutes iki poros valandų. Esami sertifikatai toliau veiks; CAA tikrinamas tik išduodant arba atnaujinant naują sertifikatą.

Patikrinkite, ar veikia

Išsaugojus ir propagavus, paleiskite nemokamą patikrinimą šiame tinklalapyje. Jis paprastai pasakys, ar jūsų CAA įrašas yra ir kurioms institucijoms leidote veikti.

Atlikta? Patikrinkite savo domeną nemokamai kad patvirtintumėte, jog veikia — ir pamatytumėte pilną įvertinimą pagal visus 34 kriterijus.